Sicurezza dei dati, tre casi di inefficacia della gestione di utenti e accessi

I Data Breach sono un problema sempre più critico per le aziende e le pubbliche amministrazioni. Il numero di attacchi è in costante crescita e gli hacker si stanno sempre più focalizzando sul rubare le credenziali degli utenti per accedere al sistema, bloccarlo e ricattare le aziende. 

Nel 82% dei casi infatti (fonte Verizon data breach 2022) gli attacchi sono effettuati utilizzando account di utenti interni alla rete a causa di password deboli o standard. Per questi motivi cresce sempre di più l’importanza di strumenti automatici e sicuri per la gestione delle identità digitali e degli accessi ad applicativi e sistemi. 

Parliamo ora di tre casi importanti che dimostrano come una non cura della gestione delle identità digitali e dei privilegi di accesso possa causare gravi danni.

Cosa succede se un ospedale, un’azienda o un ente pubblico vengono violati?

Il problema è reale e va affrontato. Bisogna munirsi di strumenti e procedure che consentano di proteggere i dati sensibili della propria organizzazione. Immaginate infatti i danni che potrebbe provocare un data breach in un ospedale, una grande azienda o un ente pubblico. 

Primo: Il caso ASL del Friuli Venezia Giulia

Cosa potrebbe succedere se qualcuno avesse la possibilità di accedere ai dati di un ospedale o di un ASL? Nel peggiore dei casi potrebbe modificarli, cancellando informazioni importanti sui pazienti e sugli operatori o potrebbe venderli ad altre persone o aziende. Le conseguenze potrebbero essere irrimediabili. Recentemente (Luglio 2022) le ASL del Friuli occidentale e centrale sono state multate dal Garante Privacy per violazione della privacy dei pazienti. Cos’è successo? 

I dipendenti di entrambi gli enti avevano la possibilità di visionare file riservati a cui non avrebbero dovuto aver accesso. Era diventato possibile per entrambe le aziende sanitarie acquisire informazioni su qualsiasi paziente (presente o non presente in struttura). I dipendenti di una casa circondariale potevano visionare i dati di tutti i pazienti dell’ASL e non solo di quelli dei loro detenuti. 

Si capisce immediatamente la portata del danno alla privacy e per questo la ASL Pordenonese ha subito una multa di 50000 Euro e quella di Udine di ben 70000 Euro.

Secondo: Il caso GoDaddy

I casi di data breach aziendale sono moltissimi e aumentano ogni anno di numero. Questo perché le informazioni delle imprese sono importantissime e hanno un valore economico. Potrebbero essere infatti vendute ai concorrenti, oppure potrebbe essere bloccato l’accesso alla rete aziendale e alle applicazioni, con l’intenzione di chiedere un riscatto all’azienda per consentirle di tornare ad operare normalmente. Infine si potrebbe cercare di aggredire con tecniche di phishing gli utenti a cui sono state rubate le informazioni con lo scopo di rubare ulteriori dati, come quelli bancari.

Qui si inserisce il caso GoDaddy. Nel novembre 2021 ha dovuto comunicare un data leak di informazioni per 1.2 milioni di utenti che utilizzavano il servizio hosting di wordpress. In pratica significa che le e-mail e i numeri di 1.2 milioni di utenti sono alla mercé degli hacker che potrebbero tentare di appropriarsi di ulteriori dati sensibili di queste persone. La falla? Una password scadente rubata ad una persona interna all’azienda.

I casi aziendali di data breach sono moltissimi e GoDaddy è solo uno degli ultimi. Consideriamo che si stima che l’83% delle aziende sono state violate almeno una volta nella loro vita.

Terzo: il caso INAIL

Infine prendete il caso INAIL che è stata sanzionata solo recentemente per tre data breach accaduti nel 2019 e 2020. La prima e seconda volta sono state visualizzate informazioni private come la natura della pratica (malattia professionale o infortunio), l’IBAN, le somme concernenti prestazioni erogate e lo stato di lavorazione della pratica di varie persone. Il terzo data breach ha permesso di scaricare documenti Pdf con informazioni e dati personali sensibili di altri lavoratori. Tutti dati estremamente sensibili e privati.

Come ci si tutela e migliora la sicurezza dei dati?

Come si può risolvere il problema? Come si può essere più protetti?

Bisogna dotarsi di una serie di applicativi, procedure e autorizzazioni che siano in grado di prevenire e mitigare questi rischi. Si va dagli antivirus ai sistemi IAM (Identity and access management).

Una soluzione IAM (Identity and Access Management) in particolare diventa fondamentale nel momento in cui il numero di utenti interni all’organizzazione è elevata. Tenere traccia di tutti gli accessi e di tutte le credenziali diventa complesso e aumenta la vulnerabilità.

I software IAM, oltre a migliorare la sicurezza, permettono di:

• Semplificare il ripristino delle utenze sui vari applicativi;
• Automatizzare i processi di provisioning;
• Integrare i processi di approvazione e rilascio delle identità digitali con i sistemi già esistenti.

Tu come gestisci la sicurezza degli utenti e degli accessi nella tua azienda? Contattaci per una consulenza gratuita!